水电厂二次系统安全防护分析与讨论

潘　亮

(紫坪铺水力发电厂，四川 成都　610091)

水电厂二次系统安全防护分析与讨论

潘亮

(紫坪铺水力发电厂，四川 成都610091)

摘要：介绍了电力二次系统安全防护的概念，分析了紫坪铺水力发电厂所采取的二次系统安全防护措施，讨论了二次系统安全防护的关键点并提出了相应的建议。

关键词：二次系统安全防护；紫坪铺水力发电厂；计算机监控系统；电力调度数据专网

现代电力系统大规模应用数字通信技术，极大地提升了系统的运行水平。但若通信网被恶意攻击后瘫痪，将危害电力系统的安全运行。为防范黑客及恶意代码等对电力二次系统造成的侵害，国家电力监管委员会于2014年颁布了《电力二次系统安全防护规定》，即电监会14号令。

14号令根据不同安全等级，将电力二次系统划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业的不同安全要求划分安全区。14号令明确了以下规定：在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置；在生产控制大区与广域网的纵向联接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关及相应设施；安全区边界应当采取必要的安全防护措施，禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务。

笔者以紫坪铺水力发电厂为例，分析了水电厂采取的二次系统安全防护措施。

1紫坪铺水力发电厂二次系统通信连接分析

紫坪铺水力发电厂位于四川省岷江上游都江堰市麻溪乡境内，距成都60 km，大坝为混凝土面板堆石坝，坝高156 m，总库容11.12亿m3。其总装机容量为760 MW(4×190 MW)，年发电量约34.17亿kW·h，以一回500 kV出线接入四川电网。

该厂二次系统安全防护概念中的二次系统包括：电厂计算机监控系统、机组自动控制系统(调速、励磁系统等)、继电保护系统、振摆监测系统、广域向量测量系统(PMU)、水调自动化系统。图1为紫坪铺水力发电厂二次系统通信示意图。

1.1紫坪铺水力发电厂二次系统间的通信连接

由图1可见，厂内通信的节点是计算机监控系统，其与厂内主要二次系统通信均使用串口方式，且其余系统相互间没有横向连接，因此可以认为它们处于一个相对安全孤立的网络中。而计算机监控系统除了与该厂二次系统通信外，一方面接入电力通信网，另一方面接入外部网络，处于相当复杂的网络环境中。由于计算机监控系统本身具备直接操作电力设备的能力，其一旦受到攻击，就可能酿成重大事故，甚至攻击者还可能透过计算机监控系统侵入电力通信网，进而造成更加严重的后果。综上所述，计算机监控系统应作为二次安全防护的一个重要节点，并特别针对调度数据专网和局域网两个方向的数据做安全防护。

1.2紫坪铺水力发电厂二次系统接入调度侧通信网的情况

紫坪铺水力发电厂由以下系统向调度侧传输数据：计算机监控系统(分为101、104两种业务)、继电保护系统(线路保护、保护信息管理)、广域向量测量系统(PMU)、电能量采集系统、水情自动化信息系统、电网辅助系统(包括：电力营销报价系统、电厂门户管理平台等)。

线路保护系统使用MUX装置(2 M继电保护信号数字复接接口装置)通过电力通信网与对侧保护装置通信。该系统不与其它系统发生交集，直接进入SDH网，应将其视为运行于一个安全的

图1　二次系统通信示意图

孤立网络内；保护信息管理柜通过调度数据专网非实时区与对侧服务器通信，属于安全Ⅱ区设备。

计算机监控系统的101规约业务通过PCM进行传输，被默认传输于安全的专用通道内，不纳入二次安全防护考虑；104规约业务通过调度数据专网实时区传输数据，属于安全Ⅰ区设备。

PMU系统通过调度数据专网实时区传输数据，属于Ⅰ区设备。

水调自动化系统、保护信息及电网辅助系统通过调度数据专网非实时区传输数据，属于Ⅱ区设备。

由图1可见，紫坪铺水力发电厂属于安全Ⅰ区、Ⅱ区的二次系统几乎全部接入了调度数据专网，该网络一旦被侵入，厂内主要的二次系统均面临被攻击的风险。

2紫坪铺水力发电厂二次系统安全防护措施

紫坪铺水力发电厂二次系统与外部网络之间存在两个边界：一是向调度侧传输数据的调度数据专网，接入调度侧网络设备；二是向公司内部发布信息的WEB机，接入局域网(该局域网有端口接入电信公网)。为防范来自两个外部网络的入侵，需要对处于边界的网络设备进行保护。

2.1面向电力通信网的二次系统安全防护措施

电力二次系统可能遭受到的、来自电力通信网的攻击可以分为两种情况：(1)从调度侧入侵，攻击者的攻击跳板位于调度侧或其它接入通信网的电厂；(2)从电厂本侧入侵，攻击者通过该厂接入通信网的设备发动攻击。

就紫坪铺水力发电厂而言，以上两种情况下入侵者都必定要通过调度数据专网。针对这种情况，该厂依据二次安全防护要求，对调度数据专网进行了加固(图2)。

图2　紫坪铺水力发电厂调度数据专网结构图

调度数据专网通过光端机接入电力通信网，安全Ⅰ区业务和Ⅱ区的业务实现物理隔离，并在两台交换机上划分VLAN对业务进行逻辑隔离，同时关闭交换机所有的非业务端口。

两台交换机通过纵向加密认证装置与电力通信网通信，IDS入侵检测系统接入两台交换机并监测交换机的所有端口，将告警信息实时送二次安全防护综合管理机。

在这种结构下，纵向加密认证装置会通过密钥验证以阻止非法数据在网络内纵向流动，而交换机的物理隔离和逻辑隔离则防止其横向扩散。

2.2面向局域网的二次系统安全防护措施

该厂二次系统接入办公局域网的唯一节点是计算机监控系统的WEB发布机，该计算机在逻辑路由上连接至计算机监控系统内网。根据14号令规定：安全接入区与生产控制大区中其他部分的连接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。该厂针对该节点作了如图3所示的设计。

图3　紫坪铺水力发电厂二次安防系统拓扑图

在该网络结构中，WEB3位于安全Ⅱ区交换机和Ⅲ区交换机之间，其数据流向计算机监控系统时须经过正向隔离装置和Ⅱ区防火墙，按照该厂正向隔离装置配置的策略，包括WEB3的安全Ⅱ区设备无法向安全Ⅰ区(即计算机监控系统)发送数据，进而实现安全Ⅰ区和Ⅱ区的隔离。同样，WEB3与局域网之间由Ⅲ区防火墙实施类似保护，以应对来自公网的入侵。

3水电厂二次系统安全防护要点及建议

3.1二次系统安全防护的关键点

笔者认为：14号令对电力二次系统安全防护作了周详的阐述，但对发电企业的关注相对较少。电厂在作二次系统安全防护设计时只能参照电网的标准执行，但缺乏更为细致的执行条款。

笔者认为：电厂和电网在二次系统安全防护方面存在细微不同，电厂二次系统的运行环境不像电网那样复杂，面临的危险也相对较少。在电厂，针对一些较为封闭的系统(如水情系统)设置专门的防护措施效果并不明显。因此，二次系统安全防护的关键点不应单纯地由某个系统的重要性来决定，而应以多个系统交界处、数据交换的关键节点作为二次安全防护的关键点。

以紫坪铺水力发电厂为例，大部分二次系统(继电保护系统、自动控制系统等)的运行环境相对孤立，通常只和本系统下辖的设备和子系统作串口通信，可以视作一个安全封闭的网络。而最容易受到入侵的是和大量其它系统、设备进行数据交换的节点，即计算机监控系统和电力调度数据专网。

计算机监控系统位于安全I区，可以直接操作发电设备，并与大部分二次系统有数据交换，其重要性毋庸置疑。同时，它也是唯一与外部公网建立数据交换的系统，受入侵的几率较高且后果严重。

电力调度数据专网本身是按照电监会14号令相关要求在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。由于该网络与多个系统有数据交换，其本身亦具备安全隔离功能，故其内部防护(特别是逻辑隔离)一旦被突破则可能影响多个系统的安全。

保护好上述两个系统的安全，可以提高整个二次系统的安全性，既使发生恶意入侵，也能将对系统和设备的危害性降到最低。

3.2关于电厂二次系统安全防护的建议

笔者在收集其它企业遭受攻击事件时发现：恶意入侵行为的主要攻击对象是基于TCP/IP的生产控制类数据业务，这类基于计算机通信的业务通常使用明文传输数据，极易受到攻击；而直接从外部广域网入侵到生产控制系统的事件较为罕见。大多数恶意攻击均来自企业内部网络，并且被攻击方在发生严重后果之前难以察觉到自身已受到攻击。

事实给我们的提示是：二次系统安全防护既需要有周密的技术措施，也需要完善的制度建设，更需要从业人员具有安全防护的意识。

对于本身运行于一个孤立安全网络的系统，采取严格的管理制度即可以有效地保护系统安全。而对每个二次系统均采取技术措施，既增加了系统的复杂性，而且在实际运行中也会造成资源的浪费。对于每个电厂而言，应确立自身二次系统的关键节点，并针对其采取可靠的技术措施和组织措施。在相同投入的情况下，在安全I区和通信网络的边界投入更多的资源实施防护效果将更为理想。

4结语

从实际运行情况看，二次系统受到的威胁更多的还是来自于系统内部，如移动存储器、笔记本计算机传播的恶意代码，而非技术难度极高的外部侵入。对于前者，在有效的管理制度下可以杜绝；后者虽然罕见，但一旦发生几乎都是恶意行为，易造成重大损失，需要采取强有力的技术措施对抗外部入侵。在现代电力系统中，电厂、电网单独讨论二次安全防护并无意义，二次安全防护系统出现任何漏洞都意味着防护失败。建立完善的管理制度防范内部攻击，依靠严密的技术手段对抗外部入侵，只有将两者相结合才是真正的二次安全防护体系。另外，虽然二次系统安全防护的水平高低取决于系统中最薄弱的部位，但这并非意味着要在整个防护体系中平均资源，对系统的关键点作有针对性地防护其效果显然更佳，也更具有现实意义。

收稿日期:2015-12-12

中图分类号:TV7;TV737;TV738

文献标识码:B

文章编号:1001-2184(2016)03-0098-04

作者简介:

潘亮(1983-)，男，四川遂宁人，工程师，从事水电厂自动化监控工作.

(责任编辑：李燕辉)